Złośliwe oprogramowanie ShellClient atakuje przemysł lotniczy od 2018 r.

ShellClient Malware to nowo odkryty trojan zdalnego dostępu, który jest jednak używany od ponad dwóch lat. Przestępcy, którzy za nią stoją, są śledzeni pod pseudonimem MalKamak, a ta konkretna kampania skupia się na szpiegostwie. Aktorzy zajmujący się złośliwymi zagrożeniami ścigali duże firmy i instytucje działające w Europie, Rosji, Stanach Zjednoczonych i na Bliskim Wschodzie. Spektakularną rzeczą w ShellClient Malware jest to, że ze względu na niską aktywność i sprytny projekt, udało mu się pozostać poza zasięgiem radaru przez ponad dwa lata, zanim ostatecznie został zidentyfikowany i poddany analizie. Wydaje się, że głównymi celami ShellClient Malware były części przemysłu lotniczego i telekomunikacyjnego.

Malware ShellClient przeszedł poważne zmiany w ciągu 2 lat

Najnowsza kompilacja ShellClient Malware sięga maja 2021 roku – jest to pewny znak, że jego programiści regularnie publikują aktualizacje dla swojego ładunku. Oczywiście wszystkie aktywne instancje złośliwego oprogramowania zostały automatycznie zaktualizowane do najnowszej dostępnej wersji. Inną osobliwą cechą tej kampanii jest to, że hakerzy ukryli złośliwe oprogramowanie jako legalny proces RuntimeBroker.exe. Ten ostatni proces to legalny składnik systemu Windows, który obsługuje uprawnienia aplikacji Microsoft Store.

Kolejną ważną rzeczą do dodania w przypadku ShellClient Malware jest to, że jego początkowy wariant był znacznie bardziej minimalistyczny. W rzeczywistości funkcjonował jako podstawowa odwrócona powłoka, która umożliwiała atakującym wykonywanie zdalnych poleceń. Jednak w ciągu dwóch lat przeszedł poważne zmiany, które zmieniły go w pełnoprawnego, modułowego trojana zdalnego dostępu.

Ponieważ szpiegostwo jest głównym celem tego zagrożenia, jego główne funkcje obejmują zdalne wykonanie kodu i eksfiltrację danych. Jak wspomniano powyżej, posiada funkcję automatycznej aktualizacji i budowę modułową, dzięki czemu operatorzy mogą łatwo zarządzać implantem.